Beschäftigtendatenschutz – Rechtssicherer Umgang mit datenschutzrechtlichen Auskunftsbegehren


| Tags: Arbeitsrecht, Datenschutzrecht


In Trennungssituationen, insbesondere in Kündigungsschutzprozessen, sind Arbeitgeber seit Inkrafttreten der Datenschutzgrundverordnung (DS-GVO) im Jahr 2018 immer häufiger mit datenschutzrechtlichen Auskunftsbegehren (ehemaliger) Arbeitnehmer konfrontiert. Diese erhoffen sich dadurch zum einen, wertvolle Informationen für den Kündigungsschutzprozess zu erhalten. Zum anderen wollen sie hierdurch häufig die Vergleichsbereitschaft des Arbeitgebers bzw. die Konditionen eines Vergleichs zu ihren Gunsten beeinflussen. Solche Auskunftsbegehren sind für Unternehmen aber nicht nur lästig, sondern auch brisant. Bei unterbliebener oder nicht ordnungsgemäßer Auskunft drohen wie bei unrechtmäßigen Datenverarbeitungen nicht nur Bußgelder in Höhe von bis zu EUR 20 Mio. bzw. 4 % des gesamten weltweit erzielten Jahresumsatzes, sondern auch Schadensersatzansprüche und -klagen der betroffenen Person sowohl für materielle als auch immaterielle Schäden (Schmerzensgeld).

Dass dies nicht nur eine „leere Drohung“ ist, wird dadurch deutlich, dass die Datenschutz-Aufsichtsbehörden der EU im Jahr 2020 insgesamt Bußgeldbescheide in Höhe von ca. EUR 160 Mio. erließen. Zudem gaben die deutschen (Arbeits-) Gerichte Schadensersatzklagen wegen Datenschutzverstößen im Umfang von mehreren Tausend Euro statt.[1]

In diesem Jahr verkündeten kurz nacheinander das Bundesarbeitsgericht[2] und der Bundesgerichtshof[3] zwei Urteile, in denen sie sich nicht nur mit den formellen Anforderungen, sondern auch mit der Reichweite datenschutzrechtlicher Auskunftsbegehren auseinandersetzten. Aus diesem Grund sollten Arbeitgeber nicht nur die Voraussetzungen und den Umfang des datenschutzrechtlichen Auskunftsanspruchs kennen, sondern in ihrem Betrieb vorbeugend eine best practice für die effektive und rechtskonforme Bearbeitung solcher Anfragen etablieren

Wie ist die Rechtslage?

Nach den Regeln der DS-GVO bedarf sowohl das Erheben als auch das (Weiter-) Verarbeiten personenbezogener Daten einer Person einer datenschutzrechtlichen Erlaubnis (z.B. einer Einwilligung des Betroffenen). Zudem sind überflüssige Datenbestände in regelmäßigen Abständen zu löschen. Andernfalls liegt eine verbotene Datenverarbeitung bzw. -speicherung vor. Hierdurch will der europäische Gesetzgeber die verfassungsrechtlich verbürgte informationelle Selbstbestimmung einer Person gewährleisten. Sie soll Herr über ihre personenbezogenen Daten bleiben können.

Angesichts dessen sieht die europäische Datenschutzgrundverordnung diverse „Betroffenenrechte“, unter anderem einen Auskunftsanspruch sowie ein korrespondierendes Recht auf Datenkopie, vor. Hierdurch soll die betroffene Person (z.B. der Arbeitnehmer) die Möglichkeit haben, sich in regelmäßigen Abständen über den Umfang der Verarbeitung seiner personenbezogenen Daten durch Dritte (z. B. den Arbeitgeber) zu informieren und deren Rechtmäßigkeit zu überprüfen. [4] Mittels seines Auskunftsanspruchs kann der Betroffene in Erfahrung bringen, ob und wenn ja welche seiner personenbezogenen Daten der Dritte (sog. Verantwortliche) verarbeitet hat. Darüber hinaus ist der Betroffene über weitere Details, z.B. Verarbeitungszwecke, Kategorien oder Empfänger seiner personenbezogenen Daten, in Kenntnis zu setzen. „Abgerundet“ wird die zu erteilende Auskunft dadurch, dass der Verantwortliche dem Betroffenen eine Kopie der verarbeiteten personenbezogenen Daten zur Verfügung zu stellen hat. Für die Auskunft und Zurverfügungstellung hat der Verantwortliche einen Monat, ausnahmsweise bis zu drei Monate Zeit.

Viele Rechtsfragen, die insbesondere auch auf die Reichweite des datenschutzrechtlichen Auskunftsanspruchs bzw. des Rechts auf Kopie einen Einfluss haben, sind seitdem stark umstritten. Ein Kernpunkt der Debatte ist beispielsweise, welche Daten überhaupt als personenbezogene Daten des Betroffenen zu qualifizieren sind. Darüber hinaus ist Gegenstand lebhafter Diskussionen, in welcher Form die Datenkopien zur Verfügung zu stellen sind.

Was haben die Gerichte entschieden?

In dieser Gemengelage bewegen sich zwei jüngere Entscheidungen des Bundesarbeitsgerichts und des Bundesgerichtshofs.

Das Bundesarbeitsgericht hatte über eine Klage eines Beschäftigen gegen seinen ehemaligen Arbeitgeber auf Überlassung einer Datenkopie zu entscheiden. Das BAG konnte die Frage, ob dem Arbeitnehmer auch Kopien von Emails zu überlassen sind, die personenbezogene Daten eines Beschäftigten enthalten, dahinstehen lassen. Stattdessen entschied das BAG aus prozessualen Gründen zugunsten des Arbeitgebers. In seinem Urteil führte das BAG aus, dass die Klage auf Erteilung einer Datenkopie keine Aussicht auf Erfolg hat, weil der Kläger es unterließ, im Klageantrag die zu übermittelnden Daten (z.B. E-Mails) konkret zu bezeichnen. Ein stattgebendes Urteil wäre daher zu unbestimmt. Bei Klagestattgabe wäre nicht klar, auf welche konkreten Daten sich das Urteil erstreckt. Soweit dem Kläger eine solche Bezeichnung der Daten nicht möglich gewesen sein sollte, hätte er seinen ehemaligen Arbeitgeber prozessual zunächst auf Auskunft und erst dann auf Überlassung einer Kopie konkret bezeichneter Daten in Anspruch nehmen müssen.

Der Bundesgerichtshof hatte sich in einem anderen Fall mit dem Umfang des Auskunftsrechts eines Versicherungsnehmers gegenüber seiner Lebensversicherung zu befassen. Der BGH urteilte, dass das Auskunftsrecht des Versicherungsnehmers sämtliche interne Vorgänge einer Versicherung umfasst, sofern sie personenbezogene Daten des Versicherten enthalten (z.B. Vermerke). Dies gelte ebenso für den gesamten gewechselten Schriftverkehr bzw. die gesamte zurückliegende Korrespondenz, auch wenn diese dem Versicherten bereits bekannt ist. Die Auskunft könne auch wiederholt verlangt werden.

Was sollten Sie als Arbeitgeber tun?

Zur Vermeidung unnötiger, kostspieliger und zeitaufwändiger Rechtsstreitigkeiten empfehlen wir Unternehmen, eine klar strukturierte unternehmensinterne Richtlinie zu erstellen, um zukünftig rechtssicher und in standardisierter Weise datenschutzrechtliche Auskunftsbegehren von Beschäftigten bearbeiten und beantworten zu können. Außerdem sollten die unternehmensinternen Prozesse entsprechend gestaltet und IT-seitig unterstützt werden.

Für die Vorbereitung der Richtline sind nach den Erfahrungen unserer Beratungspraxis insbesondere folgende Punkte besonders wichtig:

  • Festlegung der internen Verantwortlichkeit für die Bearbeitung und Beantwortung von Auskunftsbegehren. Zudem sollte die Richtlinie vorsehen, dass die Fachabteilungen (insbesondere Personal und Recht) und der Datenschutzbeauftragte einzubeziehen sind;
  • Prüfung der Frage, welche Daten als personenbezogene Daten des/der betroffenen Beschäftigten zu qualifizieren sind;
  • Prüfung, welche Informationen nach Maßgabe der Datenschutzgrundverordnung bzw. dem Bundesdatenschutzgesetz ausnahmsweise nicht offengelegt werden müssen;
  • Entwicklung von (Such-) Mechanismen zur Identifizierung aller relevanten personenbezogener Daten einer betroffenen Person;
  • Festlegung eines Fristenregimes für die rechtzeitige Beantwortung des Auskunftsverlangens.

Sowohl im Vorfeld als auch während arbeitsrechtlicher Trennungsprozesse können zudem taktische Erwägungen eine Rolle spielen (z.B. dilatorische Maßnahmen, Vermeidung unnötiger Datenerhebung und -speicherung, vorsorgliches Löschen von Daten oder Vorbereitung von Auskünften und Datenkopien), um Auskunftsbegehren zu „entschärfen“. Ferner sollten im Rahmen von Vergleichsverhandlungen Regelungsmöglichkeiten in den Blick genommen werden, um weitere Auskunftsbegehren des ehemaligen Arbeitnehmers zu begrenzen.

[1] Z.B. ArbG Dresden, ZD 2021, 54 oder ArbG Düsseldorf, ZD 2020, 649

[2] BAG, NZA 2021, 1053.

[3] BGH, BeckRS 2021, 16831.

[4] Vgl. Erwägungsgrund 63 der Datenschutzgrundverordnung (Verordnung (EU) Nr. 2016/679).

Der Newsletter ist hier als PDF-Version abrufbar.

Sprechen Sie uns bei Fragen gerne an.

Cord Vernunft, Berlin

Rechtsanwalt

Dr. Fritjof Börner, Frankfurt a.M.

Rechtsanwalt